Title: Tot hier en niet verder
Author: Arnoud Engelfriet
Date: November 1998
Published in: Link, de wereld online issue 55

Tot hier en niet verder

Internet is een geliefd werkterrein van hackers en vandalen. Daarom is het belangrijk dat je je computer voorziet van degelijk hang- en sluitwerk, zodat dit soort criminelen geen kans maken. Een inventarisatie met nuttige tips.

Spookverhalen genoeg op Internet, maar jammer genoeg schuilt in vele geruchten een kern van waarheid. Wie zijn PC niet goed beschermt, loopt een onnodig groot risico tijdens het Netsurfen. Zo is de denial of service aanval een populair tijdverdrijf onder vandalen. Hierbij wordt de computer van afstand onbruikbaar gemaakt of gecrasht Sinds enige tijd is ook de back door -- achterdeur -- populair. De inbreker installeert dan een programma op de PC van het slachtoffer dat voor de hacker elk commando uitvoert. Op die manier verkrijgt de inbreker volledige controle over de gekraakte computer. Een derde variant is ordinaire gegevensdiefstal, oftewel kopiëren vanaf de computer van het slachtoffer naar die van de hacker.

Vijand

In het juninummer van Link is uitgebreid aandacht besteeds aan het fenomeen nuken. Hierbij stuurt de aanvaller een speciaal geconstrueerd gegevenspakketje naar de computer van het slachtoffer. Vervolgens verslikt de PC zich in de ontvangen informatie en loopt daardoor vast.

Er steken regelmatig nieuwe nuke-varianten de kop op. Meestal worden ze gebruikt om ruzies uit te vechten of om een vijand het zwijgen op te leggen, maar gewoon een willekeurige voorbijganger uitschakelen komt ook voor. Je kunt je PC niet voor honderd procent tegen nukes beschermen. Wie de nieuwste patches installeert, is veilig tegen de meeste bekende nukes, maar soms duurt het even voordat er een patch beschikbaar is en kunnen de nukers dus ongestoord hun gang gaan.

In Nederland is het overigens verboden om nuke-programma's te gebruiken; geinteresseerden kunnen hiervoor artikel 161 van het Wetboek van Strafrecht raadplegen. Wie dus kan aantonen dat een bepaalde gebruiker zijn PC opzettelijk platlegt, kan met het bewijsmateriaal naar diens provider stappen en maatregelen eisen. Voor dit speurwerk zijn inmiddels diverse anti-nukeprogramma's beschikbaar. Deze registreren de aanval en geven meteen het adres van de nuker. Het is dan meestal eenvoudig om diens provider te achterhalen.

Lampjes

Wie een extern modem heeft, kan aan de lampjes zien hoe veel verkeer er wordt veroorzaakt. Met een intern modem gaat dit niet, maar gelukkig zijn er genoeg programma's die dezelfde functie kunnen vervullen. Op deze manier kun je zien of er veel netwerkverkeer over je modem gaat. Wanneer dit gebeurt terwijl je zelf niets aan het doen bent, kan dit een teken zijn dat iemand probeert in te breken of zelfs al ingebroken heeft en nu bestanden aan het downloaden is.

Met behulp van het DOS commando netstat kun je zien met welke computers er op dat moment een verbinding bestaat. Hiermee kun je achterhalen wie er verantwoordelijk is voor dat extra netwerkverkeer.

Digitale achterdeur

Een truc die in de UNIX-wereld al lang bestaat en recentelijk met het programma Back Orifice ook voor Windows mogelijk werd, is het installeren van een programma dat fungeert als digitale achterdeur op de computer van het slachtoffer. De hacker kan dan via Internet een verbinding leggen met dat programma en zo commando's uitvoeren op die computer. Zo neemt de inbreker de macht over jouw systeem volledig over. Gelukkig werkt Back Orifice niet zonder medewerking van de argeloze gebruiker: de hacker moet eerst het slachtoffer zo ver krijgen dat hij of zij een bepaald programma installeert. Hiervoor gebruiken ze diverse trucs. Zo kun je iemand gewoon het programma sturen en zeggen dat het een leuk spelletje is, of een handig hulpprogrammaatje, of een patch tegen een nieuwe nuke-versie(!).

Installeer dus nooit zomaar een programma dat je van iemand via Internet krijgt aangeboden. Updates en nieuwe versies van programma's kun je het beste van de officiële sites downloaden, dan weet je in ieder geval dat er niet mee geknoeid is. En vergeet niet om opgehaalde bestanden altijd eerst op virussen te scannen.

Weer lampjes

Programma's als Back Orifice verbergen zich in het besturingssysteem, zodat de kans op detectie minimaal is. Toch kun je op een eenvoudige manier zien dat er iets niet in de haak is. Met behulp van dezelfde truc als hierboven beschreven om nuke-pogingen waar te nemen, kun je ook zien of er verkeer wordt veroorzaakt naar een onbekende computer. Dit kan een aanwijzing zijn dat er iemand met Back Orifice bezig is op je computer.

Kraak

Hackers maken ook graag gebruik van Internet Relay Chat -- het chat-protocol van Internet -- waarbij ze zwakheden in IRC-programma's uitbuiten. Het pakket mIRC staat bijvoorbeeld toe dat een toegezonden bestand de naam krijgt van het mIRC configuratiebestand. Een hacker kan deze file namaken en er extra instructies aan toevoegen, zodat hij bij het slachtoffer allerlei commando's kan uitvoeren. Vervolgens hoeft hij het bestand alleen maar aan een hoop IRC gebruikers te sturen in de hoop dat er iemand tussen zit die automatisch het aangeboden bestand accepteert en zo zijn eigen configuratiebestand overschrijft. De kraak is dan een feit

Servers

Van een heel andere orde is de kwetsbaarheid van serverprogramma's. Kennis hierover is ook voor thuisgebruikers van belang, want het wordt steeds populairder om op je eigen PC een Internetserver in te richten. Wie een kabelmodem heeft, kan zo heel simpel zijn eigen Website beheren. Of je stelt bestanden beschikbaar via een FTP-server. Bovendien kunnen sommige Webcamprogramma's ook als server fungeren. Sommige Website-ontwerpers installeren hun eigen webserver, zodat ze scripts kunnen testen zonder online te hoeven zijn.

Erg handig natuurlijk, zolang je maar beseft dat je hierbij een groot risico loopt. Veel van deze servers zijn bij een "normale" installatie erg onveilig, en staan dan toe dat bezoekers alle besatnden op je harde schijf kunnen bekijken en downloaden. Het is dus zaak om zulke serverprogramma's goed in te stellen. Gebruikers van Windows NT moeten opletten dat ze geen services draaien die ze niet nodig hebben, zoals NetBIOS of drive sharing -- dat zijn opties die door NT automatisch gestart worden bij de installatie.

Wachtwoord

Maar waarom zou een informatiedief moeilijk doen als het ook makkelijk kan? Steel gewoon de hele computer of kopieer op een onbewaakt ogenblik de harddisk naar een ZIP-disk! Dat is veel makkelijker dan al dat gehack via Internet.

Zeker voor mensen met een laptop is het risico van "echte" diefstal behoorlijk groot. Om er voor te zorgen dat een dief in ieder geval niet je bestanden kan lezen, moet je eigenlijk de gehele harde schijf versleutelen. Bij het opstarten moet dan een wachtwoord worden ingegeven. Als dit correct is, is de harde schijf of partitie beschikbaar voor gebruik. Je merkt niet dat de partitie versleuteld is -- het decoderen wordt volledig achter de schermen uitgevoerd. Bij het afsluiten van je PC zijn alle gegevens in versleutelde vorm opgeslagen op de harde schijf. Wie nu de harde schijf steelt, zal het wachtwoord moeten weten om de gegevens weer terug te krijgen.

Hopelijk loopt het angstzweet nu niet langs je voorhoofd en durf je nog steeds op het Web te surfen. Want als je de juiste voorzorgsmaatregelen treft, is er eigenlijk niets engs aan. Gewoon op je hoede blijven dus, net als tijdens een avondwandeling in een vreemde stad.

Tips

  1. Installeer nooit zomaar een programma dat je wordt aangeboden per e-mail of via IRC. Download liever vanaf een gerenommeerde software site.
  2. Als je een laptop hebt, zorg er dan voor dat je je belangrijke gegevens op een versleutelde partitie hebt staan.
  3. Draai geen serverprogramma's die je niet nodig hebt. Als je ze wel nodig hebt, let dan goed op dat er niet meer mee mogelijk is dan wat strikt de bedoeling is.
  4. Let op onverwacht netwerkverkeer als je op Internet zit. Dit soort verkeer kan een aanwijzing zijn dat iemand probeert je te nuken of je computer probeert te kraken.
  5. Installeer de laatste patches voor je besturingssysteem en de programma's die je gebruikt. Download deze wel van een officiele site, anders installeer je wellicht een achterdeur vermomd als patch!
Hyperlinks

Nuken

Denial of service

Netwerkmonitors

Back Orifice

Serverbeveiliging

Partities versleutelen